Kişisel Verileri Koruma Kurulu’nun 02.03.2021 Tarihli Karar Özetleri

Konu: Kişisel Verileri Koruma Kurulu’nun 02.03.2021 Tarihinde Yayınlanan Karar Özetleri

• İlgili Kişinin Kullanımına İzin Vermediği Kredi Kartı Bilgilerinin Veri Sorumlusu Araç Kiralama Şirketi Tarafından Kullanılması Hakkında” Kişisel Verileri Koruma Kurulunun 27/02/2020 Tarihli ve 2020/166 Sayılı Karar Özeti

İlgili kişi ile araç kiralama şirketi olan veri sorumlusu arasında imzalanan sözleşme kapsamında ilgili kişinin üzerine doğan borcu ödemek için kullandığı sözleşmede belirtilen …22 ile biten kredi kartı yerine, hiçbir şekilde onayının ve bilgisinin bulunmadığı ve kullanımına izin vermediği …67 ile biten başka bir kredi kartı bilgilerini alan ve kullanan veri sorumlusu araç kiralama şirketi hakkında gerekli yaptırımın uygulanmasını talep etmiştir.

Veri sorumlusu yaptığı savunmasında ilgili kişi ile akdedilmiş önceki tarihli sözleşme ile elde ettiği bilgileri kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kredi kartı bilgisinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 5. maddesinin c bendi kapsamında kira sözleşmesinin kurulması ve ifasıyla doğrudan doğruya ilgili olması nedeniyle ve KVKK’nın  5. maddesinin f bendi kapsamında meşru menfaatler çerçevesinde işlem yapıldığı belirtilmiştir. ayrıca kişinin talebi üzerine 7 gün içerisinde veri tabanından tüm kredi kartı bilgileri silindiği beyanında bulunmuştur.

İlgili kişinin veri sorumlusu ile daha önce yaptığı araç kiralama sözleşmesi kapsamında kullanımına onay verdiği kredi kartı bilgilerinin; veri sorumlusu tarafından daha sonra gerçekleştirilmesi düşünülen amaçlar doğrultusunda kullanılmak üzere sistemde saklanarak, haksız şart niteliği gösteren sözleşme hükmüne dayanmak suretiyle somut vakada kişinin makul beklentisine ve çıkarına aykırı olumsuz bir durum oluşturarak haklı bir gerekçe olmaksızın kullanılmasına ilişkin kişisel veri işleme faaliyetinin KVKK’nın “Kişisel verilerin işlenme şartları” başlıklı 5. maddesinde yer alan şartlardan herhangi birine dayandırılamayacağı ve KVKK’nın “Genel ilkeler” başlıklı 4. maddesi uyarınca “hukuka ve dürüstlük kurallarına uygun olma” ile “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil ettiği kanaatine varılmış olup bu itibarla, KVKK’nın 12. maddesinde öngörülen veri güvenliğine ilişkin yükümlülüklerini yerine getirmemiş olması nedeniyle veri sorumlusu hakkında işlem yapılmıştır.

• Veri sorumlusu tarafından ilgili kişilerin kişisel verilerinin hukuka aykırı şekilde internet gazetesi üzerinden yayımlanması hakkında” Kişisel Verileri Koruma Kurulunun 18/02/2020 tarihli ve 2020/145 sayılı Karar Özeti

 İlgili kişilerin yönetim kurulu üyesi olduğu şirket tarafından noter aracılığı ile veri sorumlusuna tekzip ihtarnamesi gönderilmiştir. Veri sorumlusu ilgili kişiler tarafından gönderilen tekzip ihtarnamesini fotoğrafını çekmek suretiyle yeni bir haber olarak ilgili kişilerin T.C. kimlik numaralarını, nüfus kayıt bilgilerini, anne-baba isimlerini ve adres bilgilerini olduğu gibi yayımlamıştır. Bu sebeple, ilgili kişilerin kişisel bilgilerinin hukuka aykırı bir şekilde kamuya ifşa edildiği gerekçesiyle ve kişisel verilerin hukuka aykırı şekilde yayımlanması nedeniyle veri sorumlusuna tekrar ihtarname göndermiştir. Gönderilen ihtarname ile ilgili kişilere ait kişisel verilere ilişkin kısmının haber metninden çıkarıldığı ancak 10 gün boyunca ilgili kişilere ait kişisel verilerin hukuka aykırı şekilde yayımlanarak kamuya ifşa edildiği, güvenliklerini tehlikeye düşürüldüğü belirtilmiştir. İlgili kişilere ait kişisel verileri rızaları ve bilgileri dışında kullanarak üçüncü kişilerce dolandırılmalarına sebebiyet verecek işlemlerin önünü açan veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

KVKK’nın 4. maddesinin (2) numaralı fıkrasında kişisel verilerin işlenmesinde uyulması zorunlu ilkelerin “a) hukuka ve dürüstlük kurallarına uygun olma, b) doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işleme, ç)işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” olduğu belirlenmiştir.

KVKK’nın 5. maddesinde ise kişisel verilerin işlenebilmesi ilgili kişinin açık rızasının varlığı koşuluna bağlı tutulmuş ancak ikinci fıkrada işbu açık rıza kuralına bazı istisnalar getirilmiştir. İkinci fıkrada belirtilen istisnalar sınırlı sayıda olup, dar yorumlanması gerekmektedir. 

5187 sayılı Basın Kanunu’nun 14. maddesinde ise “Süreli yayınlarda kişilerin şeref ve haysiyetini ihlâl edici veya kişilerle ilgili gerçeğe aykırı yayım yapılması halinde, bundan zarar gören kişinin yayım tarihinden itibaren iki ay içinde göndereceği suç unsuru içermeyen, üçüncü kişilerin hukuken korunan menfaatlerine aykırı olmayan düzeltme ve cevap yazısını; sorumlu müdür hiçbir düzeltme ve ekleme yapmaksızın, günlük süreli yayınlarda yazıyı aldığı tarihten itibaren en geç üç gün içinde, diğer süreli yayınlarda yazıyı aldığı tarihten itibaren üç günden sonraki ilk nüshada, ilgili yayının yer aldığı sayfa ve sütunlarda, aynı puntolarla ve aynı şekilde yayımlamak zorundadır” düzenlemesine yer verilmiştir.

Her ne kadar, veri sorumlusunun, Basın Kanunu’ndan kaynaklı olarak düzeltme metnini veya cevap yazısını hiçbir düzeltme ve ekleme yapmaksızın yayımlama yükümlülüğünün bulunsa da, veri sorumlusunun bu amaç yerine getirilirken işlendikleri kişisel verilerin amaçla bağlantılı, sınırlı ve ölçülü olması gerekmektedir. Haberle ve metnin içeriğiyle ilgisi olmayan ve yayımlanması halinde kişilerin kişilik haklarının zarara uğramasına sebep olacak kişisel verileri içeren kısımların yayımlanması, amaç ile orantılı olarak değerlendirilmediğinden söz konusu düzeltme metninin kişilik haklarını ihlal ederek internet sitesinde yayımlanması hukuka aykırı olacaktır.

Veri sorumlusunun tekzip ihbarnamesini yayınlaması, KVKK’nın 5. maddesinin 2. fıkrasının (ç) bendinde yer alan veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması hükmü kapsamında hukuka uygun olsa da veri sorumlusunun ilgili kişilerin T.C. kimlik numaralarını, nüfus kayıt bilgilerini, anne-baba isimlerini ve adres bilgilerini olduğu gibi paylaşması KVKK’nın amaçla bağlantılı, sınırlı ve ölçülü olma ilkesiyle bağdaşmamaktadır. Bu nedenle, KVKK’nın 12. maddesinin 1. fıkrasının (a) bendinde öngörülen yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu hakkında KVKK’nın 18. maddesinin 1. fıkrasının (b) bendi hükmü uyarınca 55.000,00.-TL idari para cezası verilmesine karar verilmiştir.

• Veri sorumlusu işveren tarafından, iş sözleşmesi tek taraflı olarak feshedilen ve işe iade davası açan ilgili kişiye ait özlük dosyasında yer alan sağlık raporunun dava savunmasında kullanılmak suretiyle mahkemeye sunulması” hakkında Kişisel Verileri Koruma Kurulunun 18/02/2020 tarihli ve 2020/138 sayılı Karar Özeti

İlgili kişi, iş akdinin feshedilmesi nedeniyle veri sorumlusu işverene karşı işe iade davası açmıştır. İşbu dava içeriği ile ilgili olmamasına rağmen özlük dosyasında yer alan kendisine ait özel nitelikli kişisel verilerinin mahkemenin talebi olmadığı hâlde dava dosyasına sunulmuş olması nedeniyle kişilik haklarının ihlal edildiği gerekçesiyle, ilgili kişi, veri sorumlusu işveren hakkında ihlal tesis edilmesini talep etmiştir.

6331 sayılı İş Sağlığı ve Güvenliği Kanunu’nun 15. Maddesi uyarınca işveren, çalışanın sağlık muayenelerini yapmasını sağlamakla yükümlüdür. İş Sağlığı ve Güvenliği Yönetmeliğinin 7. maddesinde yer alan hüküm uyarınca işten ayrılma tarihinden itibaren en az 15 yıl süreyle çalışanların kişisel sağlık dosyalarının saklanacağı hüküm altına alınmıştır.  Buna ilave olarak, mahkeme tarafından ilgili kişiye ait özlük dosyasının tüm içeriğinin gönderilmesi talep edilmiştir. Mahkeme tarafından talep edilen özlük dosyasının tüm içeriğinin şikâyete konu sağlık raporları da dâhil olmak üzere herhangi bir bilgi ve belge ayırt edilmeksizin mahkeme ile paylaşılmıştır. 

4857 sayılı İş Kanunu’nda işverenin çalıştırdığı her işçi için bir özlük dosyası düzenlediği, bu dosyada, işçinin kimlik bilgilerinin yanında, bu kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorunda olduğu hüküm altına alınmıştır. 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun’un “İncelenemeyecek Dilekçeler” başlıklı 6. maddesinde, Türkiye Büyük Millet Meclisine veya yetkili makamlara verilen veya gönderilen dilekçelerden yargı mercilerinin görevine giren konularla ilgili olanların incelenemeyeceğinin hüküm altına alınmıştır. Diğer yandan, 6100 sayılı Hukuk Muhakemeleri Kanununun 219. maddesinin 1. Fıkrası uyarınca, tarafların, kendilerinin veya karşı tarafın delil olarak dayandıkları ve ellerinde bulunan tüm belgeleri mahkemeye ibraz etmek zorunda oldukları yönünde bir hüküm bulunmaktadır. Sağlık raporlarının işçiye ait özlük dosyasının içerisinde yer alıp alamayacağına ilişkin gerek 4857 sayılı İş Kanunu’nda gerek 6331 sayılı İş Sağlığı ve Güvenliği Kanununda özel bir hüküm bulunmamaktadır. 

Yukarıda yer alan bilgiler ışığında, sağlık raporlarının mahkemede delil olarak kullanılması davayı aydınlatmak açısından önem arz ettiği nedeniyle KVKK’nın 5. maddesinin 2. fıkrası (e) bendi kapsamında ‘’Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.’’ nedenine dayandırıldığından ortada bir hukuka aykırılık unsuru kalmamaktadır. 

Kişisel Verileri Koruma Kurulu, KVKK’nın 28. maddesinin 1. fıkrası (d) bendi uyarınca “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmü ile 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun’un 6. maddesinin (b) bendi uyarınca konuya ilişkin tesis edilecek bir işlem bulunmadığına karar vermiştir.

• “Veri sorumlusu havayolu şirketi bünyesindeki çalışanın ilgili kişiye ait kişisel verileri 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırı şekilde şirket kayıtlarından elde etmesi” hakkında Kişisel Verileri Koruma Kurulunun 13/02/2020 tarihli ve 2020/124 sayılı Karar Özeti

Veri sorumlusu bünyesinde çalışan kişinin ilgili kişiye ait uçuş bilgilerini şirket kayıtlarından elde ederek bu bilgileri başka bir çalışanla paylaştığı tespit edilmiştir.  Bu çalışanın da söz konusu bilgileri ilgili kişiye ilettiği ve aralarındaki husumet nedeniyle ilgili kişinin her uçuş sonrası aranarak verileri elde eden çalışan tarafından rahatsız edildiği belirtilmiştir. İlgili kişi, bu durumu veri sorumlusuna iletmiş, ancak veri sorumlusunun aldığı aksiyonun yetersiz gelmesi nedeniyle ilgili kişi Kişisel Verileri Koruma Kurulu’na başvurmuştur. 

KVKK’nın 12. maddesinde idari ve teknik tedbirler düzenlenmiştir. Buna göre, veri sorumlusu aşağıda yer alan tedbirleri almak ile yükümlüdür:

• Mevcut Risk ve Tehditlerin Belirlenmesi 
• Çalışanların Eğitilmesi ve Farkındalık Çalışmaları 
• Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi 
• Kişisel Verilerin Mümkün Olduğunca Azaltılması
• Veri İşleyenler ile İlişkilerin Yönetimi
• Envanter Hazırlanması
• Çalışanlarla Gizlilik Anlaşmaları İmzalanması
• Çalışanların güvenlik politika ve prosedürlerine uymaması durumunda devreye girecek disiplin süreci 

Kişisel Verileri Koruma Kurulu, veri sorumlusunun çalışanlarının şirket içerisinde eğitimlere tabi tutulmuş ve bu eğitimleri başarıyla tamamlamış olmalarına rağmen olay öncesinde eğitimlerin seyrek düzenlenmiş olduğunu tespit etmiştir. Veri sorumlusu tarafından her ne kadar log kayıtları tutuluyor olsa da bu kayıtların analiz edilerek kişisel verilerin hukuka aykırı işlenmesinin ve erişilmesinin tespit edilebilir olması gerekmektedir. Bu nedenle, veri sorumlusunun KVKK’nın 12. maddesi kapsamında veri güvenliğine ilişkin tedbirlerinin yetersiz olduğu gözlemlenmiştir.

İlgili kişinin çalışanlar ve veri sorumlusu hakkında Türk Ceza Kanunu’nun 135-140. maddeleri gereğince suç duyurusunda bulunmuş olması ve soruşturmanın halen devam etmesi nedeniyle Ceza Muhakemesi Kanunu’nun 158. maddesi uyarınca konunun Cumhuriyet Başsavcılığına bildirilmesine gerek olmadığına karar verilmiştir.

Bu nedenle, veri sorumlusu tarafından kişisel verilere erişim ile ilgili sınırlama getirilmemesi ve çalışanlara verilen eğitimin yetersiz olması sebebiyle KVKK’nın 12. maddesinde yer alan veri güvenliğinin sağlanmasına yönelik gerekli idari ve teknik tedbirlerin alınmadığı kanaatine varıldığından veri sorumlusu hakkında 100.000,00.-TL idari para cezası uygulanmasına karar verilmiştir. 

“Veri sorumlusu eğitim kurumu tarafından şikayetçinin çocuklarının özel nitelikli kişisel verilerinin hukuka aykırı olarak işlenmesi hakkında” Kişisel Verileri Koruma Kurulunun 02/04/2020 tarihli ve 2020/255 sayılı Karar Özet 

Kişisel Verileri Koruma Kurumuna intikal eden şikâyette, veri sorumlusuna ait okulda eğitim gören öğrencilere velilerinden herhangi bir şekilde izin alınmadan, aydınlatma yükümlülüğü yerine getirilmeden veya açık rızaları alınmadan CAS (Cognitive Assessment System) Uygulama ve Değerlendirme testinin yapıldığı belirtilmiştir. Çocukların bu test için KVKK’nın 6. maddesi ile belirlenmiş özel nitelikli kişisel verilerinin kullanıldığı ve işlendiği ve ilgili kişilerin veya velisinin açık rızası bulunmadan bu verilerin işlenmesinin kesinlikle yasaklandığı, veri sorumlusunun uzun süredir şikayetçinin velayeti altında bulunan çocuklara eğitim vermekte iken hiçbir kayıt işleminde kişisel verilerin işlenmesinden bahsetmediği, KVKK’nın 10. maddesi hükümlerince aydınlatma yükümlülüğünün yerine getirilmediği, veri sorumlusuna başvuruda bulunulduğu ancak yeterli bir cevap alınamadığı bu çerçevede Kurula şikâyette bulunulduğu belirtilmiştir. Veri sorumlusunun KVKK’nın “kabahatler” başlıklı 18. maddesi uyarınca aydınlatma yükümlülüğü ve veri güvenliğine ilişkin yükümlülüklerini ihlal fiillerinden dolayı cezalandırılması ve işlenen verilerin KVKK’nın 7. maddesi doğrultusunda silinmesi, yok edilmesi veya anonim hale getirilmesinin karar verilmesi talep edilmiştir.

Veri sorumlusu, savunmasında, eğitim kurumlarında sunulacak rehberlik hizmetlerinin amaç, ilke, faaliyet ve çalışma yöntemlerinin Milli Eğitim Bakanlığı Rehberlik Hizmetleri Yönetmeliğinde düzenlendiğini ve söz konusu Yönetmeliğin 6. maddesi uyarınca rehberlik hizmetlerinin eğitsel rehberlik, mesleki rehberlik ve kişisel/sosyal rehberlik olarak üç temel alana ayrıldığı ifade edilmiştir. Eğitim kurumlarında sunulan rehberlik hizmetinin amacının ölçme değerlendirme araçları ve diğer yöntemleri kullanarak öğrencilerin durumlarının tespit edilip desteklenmesi gereken alanlarda çalışma yürütmek olduğu, rehberlik hizmetlerinin yerine getirilebilmesi ve amaçlarının sağlanabilmesi için bireyin tanınmasının zorunlu olduğu ve öğretmenlerin görevleri arasında olduğu ve Milli Eğitim Bakanlığı Rehberlik Hizmetleri Yönetmeliği uyarınca bireyin tanınması sürecinde farklı ölçme araçlarının, yöntemlerinin ve tekniklerinin kullanılmasının mümkün olduğu belirtilmiştir. Milli Eğitim Bakanlığı Rehberlik Hizmetleri Yönetmeliği ile “rehberlik ve araştırma merkezleri ile rehberlik servislerinin bireyi tanıma, tanılama, tarama ve inceleme çalışmalarında kullanabilecekleri çeşitli test, anket ve envanterler”in psikolojik ölçme araçları olarak tanımlandığı ve Milli Eğitim Bakanlığı Rehberlik Hizmetleri Yönetmeliği’nin 10. maddesinde rehberlik hizmetlerinde bireyi tanıma çalışmalarında kullanılacak psikolojik ölçme araçlarının sağlanmasına ilişkin amaç ve uygulama ilkelerinin belirlendiği, bu çerçevede, testin amacının rehberlik faaliyeti kapsamında öğrenciye eğitsel, kişisel, sosyal rehberlik hizmeti ile sınırlı olduğu, yürütülen faaliyetin hukuka uygun, belirli, açık ve meşru olduğu, testin uygulanmasına ilişkin velilerin bilgisi ve onayının bulunduğu ifade edilmiştir. Bu nedenle, testin Milli Eğitim Bakanlığının Rehberlik Hizmetleri mevzuatı çerçevesinde, rehberlik hizmetleri amaçları doğrultusunda uygulandığı ve veri sorumlusu eğitim kurumunun mevzuat ile tanımlanmış görev ve yetkilerini aşmadığı, testin uygulanmasında KVKK’ya aykırı davranılmadığı savunmasında bulunulmuştur.

Açık rıza almadan kişisel verilerinin süreç içerisinde işlenmesi Hukuka Uygunluk Sebeplerinin varlığı nedeni ile mümkün olsa da işlenen verilerin işleme amacıyla bağlantılı, sınırlı ve ölçülü olması gerekmektedir. Özel nitelikli kişisel veriler, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel veriler, veri sorumlusu tarafından, KVKK’ya uygun bir şekilde, Kişisel Verileri Koruma Kurulu’nca belirlenecek yeterli önlemlerin alınması kaydıyla, KVKK’nın 6. maddesinde belirtilen şartların varlığı halinde işlenmektedir. Buna göre özel nitelikli kişisel veriler; ilgili kişinin açık rızası var ise işlenebilecektir. İlgili kişinin açık rızası yok ise; ilgili kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası olmaksızın işlenebilecektir. İlgili kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın işlenebilecektir.

Kişisel Verileri Koruma Kurulu, ilgili kişilere CAS testi uygulanması sürecinde, ilgili kişilerin reşit olmaması nedeniyle velisinin açık rızasına dayanmadan özel nitelikli kişisel verilerini işlediği ve ilgili kişilerin açık rızası olmadan gerçekleştirilen veri işleme faaliyetinin hukuka aykırı bir veri işleme faaliyeti olduğuna kanaat getirmiştir. Her ne kadar, veri sorumlusu velilerin bilgisi ve onayı dahilinde uygulandığını savunmasında belirtmiş olsa da aydınlatmanın yapıldığına ve açık rızanın alındığına dair herhangi bir bilgi ve belgenin Kuruma iletilmediği tespit edilmiştir.

Veri sorumlusu tarafından kişisel verilerin elde edilmesi sırasında, ilgili kişinin talebine bağlı olmaksızın sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmelidir. Bu yükümlülüğün yerine getirildiğine ilişkin ispat yükü veri sorumlusundadır.  Somut olayda, veri sorumlusu her ne kadar CAS testinin uygulanması süreci ve testin sonucu hakkında velinin bilgisi ve onayının olduğunu kanıtlasa da aydınlatma yükümlülüğünün yerine getirilmesi için Kanunda öngörülen gerekli şartlar ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğde yer alan usul ve esasları tam olarak yerine getirmediği tespit edilmiştir.

Bu kapsamda, veri sorumlusunun rehberlik servisi tarafından; öğrencilere CAS testi uygulanması sürecinde veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile KVKK’nın maddesinde sayılan ilgili kişilerin diğer hakları konusunda öğrencinin velisine yeterli düzeyde bilgi sağlamamak suretiyle veri sorumlusunun aydınlatma yükümlülüğünü tam olarak yerine getirmediği sonucuna varılmıştır.

Veri sorumlusunun KVKK’nın 12. maddesinde belirtilen teknik ve idari tedbirleri almayarak kişisel verileri hukuka aykırı olarak işlediği kanaatine varılmıştır.  Bu nedenle, veri sorumlusu hakkında KVKK’nın 18/1-b uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

Buna ilave olarak, hukuka aykırı elde edilen verilerin KVKK’nın 7. maddesi kapsamında silinmesi, yok edilmesi veya anonim hale getirilmesine, kişisel veri işleme faaliyetlerine ilişkin olarak aydınlatma yükümlülüğünün KVKK’nın 10. maddesi ve ilgili Tebliğ hükümlerine uygun şekilde yerine getirilmesine ve KVKK’nın 6. maddesi uyarınca, özel nitelikli kişisel veri kapsamında olan ilgili kişinin sağlık verisinin ilgili kişilerin/velinin açık rızası alınmadan işlenmesi nedeniyle hukuka aykırı bir şekilde veri işlendiği dikkate alınarak velilere ve öğrencilere sunulan rehberlik hizmeti sürecinin kişisel verilerin korunması mevzuatı ile uyumlu hale getirilmesine karar verilmiştir.

• “Ses kayıt özelliği bulunan güvenlik kamerası kullanılması” ile ilgili Kişisel Verileri Koruma Kurulunun 12/03/2020 tarihli ve 2020/212 sayılı Karar Özet 

KVKK’nın 4. maddesinde de, kişisel verilerin ancak KVKK ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin ancak hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği hüküm altına alınmıştır.

İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi uyarınca, işlenen kişisel veriler, işlendikleri amaçlarla ilişkili olarak yeterli, ilgili ve gerekli olanla sınırlı kalmalıdır. Veri minimizasyonu ilkesine göre verinin yeterli, ilgili ve gerekli olanla sınırlı olması tespiti, verinin işlendiği belirli, açık, meşru amaç dikkate alınarak yapılacaktır. Bu ilke kapsamında üç unsur değerlendirilmelidir:

• İlk olarak kişisel veriler, işlendikleri amaçla ilişkili olarak yeterli olmalıdır. (ölçülülük) Örneğin; iş yerine, okula veya spor salonuna girişlerde kart kullanmak yerine kişilerden parmak izi almak ölçülülük ilkesine aykırıdır.

• İkinci olarak, verinin işleme amacı ile ilgili olması gerekir. 

• Son olarak, işleme amacı ile ilişkili olarak gerekli olanla sınırlı kişisel veriler işlenebilecektir. 

Bu çerçevede, işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerekmektedir. Sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemelidir.

Veri işleme faaliyeti amacı gerçekleştirecek ölçüde olarak işlenecek veri ile gerçekleştirilmesi istenen amaç arasında makul bir denge kurulmalıdır. Bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve işlenmemesi gerekmektedir. Veri sorumlusunun, amacı çerçevesinde veri minimizasyonu ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi ve bunun haricinde amaç için gerekli olmayan veri işlemeden kaçınması gerekmektedir. 

KVKK’nın 5. maddesinde ise kişisel verilerin işlenebilmesi ilgili kişinin açık rızasının varlığı koşuluna bağlı tutulmuş ancak ikinci fıkrada işbu açık rıza kuralına bazı istisnalar getirilmiştir. İkinci fıkrada belirtilen istisnalar sınırlı sayıda olup, dar yorumlanması gerekmektedir. 

Belirtilmelidir ki, kişisel veriler belirli bir amaca bağlı olarak ve ilgili kişinin açık rızası ile işlendiğinde dahi aşırı miktarda veri toplanması meşrulaştırılamayacaktır. Kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerekmektedir.

Anayasa’nın 20/3 maddesinde özel hayatın gizliliği düzenlenmiştir. Buna göre, “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Bu düzenleme ile kişisel verilerin korunması anayasal bir hak niteliğini kazandırmıştır. Temel hak ve özgürlük olan bu hakkın sınırlandırılması da ancak Anayasa’nın 13. maddesine uygun bir şekilde gerçekleştirilecektir. Bir temel hak ve özgürlüğün sınırlandırılmasının söz konusu olduğu hallerde; hakkın özüne dokunulmaması ve sınırlamanın Anayasanın sözüne, ruhuna, demokratik toplum düzenine, laik Cumhuriyetin gerekleri ile ölçülülük ilkesine aykırı olmaması gerekmektedir.

Bu çerçevede, sesli kamera kaydının hukuka uygun bir kişisel veri işleme faaliyeti olarak değerlendirilebilmesi için Anayasa’nın 13. maddesinde  belirtilen temel hak ve özgürlüklerin sınırlanmasında gözetilmesi gereken ilkelere uygun olması gerekmektedir. 

Kamera kaydı ile beklenen fayda sadece görüntü alınarak elde edilebilecek ise, görüntü ile beraber ses kaydının da alınması gerçekleştirilecek kişisel veri işleme faaliyeti ile ulaşılmak istenen amaç arasındaki dengenin bozulmasına yol açacağından ölçülülük ilkesine aykırılık teşkil edecektir. Diğer taraftan, kameralar vasıtasıyla görüntü ile birlikte ses kaydı yapılması, bireylerde her açıdan gözetim altında tutuldukları endişesi yaratabilecek olup, kişilerin kamusal alanda bile özel bir kısım diyaloglarının ya da yaşantı kesitlerinin bulunabileceği de dikkate alındığında bu yönde bir uygulamanın hakkın özüne zarar vereceği değerlendirilmektedir. 

• İlgili kişinin oturmakta olduğu binaya, komşusu tarafından kamera yerleştirilerek kayıt ve izleme gerçekleştirilmesi hakkında” Kişisel Verileri Koruma Kurulunun 27/02/2020 tarihli ve 2020/187 sayılı Karar Özet

Kişisel Verileri Koruma Kurulunun 27/02/2020 tarihli ve 2020/187 sayılı Kararında, ilgili kişi, oturmakta olduğu bina içerisine komşusu tarafından dört tane kamera yerleştirildiği, bu kameralarla kayıt ve izleme gerçekleştirildiği, kişilerin huzur ve sükûnunu bozma, hukuka aykırı olarak kişisel verileri kaydetme, özel hayatın gizliliğini ihlal etme suçlarının işlendiği, kameraları yerleştiren komşu hakkında savcılığa da şikâyette bulunulduğu ifade edilerek gereğinin yapılması, şahsın cezalandırılması ve kamera görüntülerinin tarafına iadesi talep edilmiştir.

KVKK’nın 15. maddesinde “şikâyet üzerine veya resen incelemenin usul ve esasları” düzenlenmektedir. Buna göre, KVKK’nın 15. maddesinin birinci fıkrasında Kişisel Verileri Koruma Kurulu, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapacağı hüküm altına alınmıştır. , KVKK’nın 15. maddesinin ikinci fıkrasında; 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun’un 6. maddesinde belirtilen; belli bir konuyu ihtiva etmeyen, yargı mercilerinin görevine giren konularla ilgili olan ve 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun’un 4. maddesinde belirtilen dilekçede bulunması zorunlu şartlardan olan dilekçe sahibinin adı soyadı ve imzası ile iş veya ikametgâh adresi şartlarından herhangi birini taşımayan ihbar veya şikâyetlerin incelemeye alınmayacağının hükme bağlanmıştır. 

KVKK’nın 17. maddesinde ise “suçlar ve kabahatler” düzenlenmektedir. Buna göre, kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140. madde hükümlerinin uygulanacağı hüküm altına alınmıştır. Türk Ceza Kanunu’nun 135. maddesinde hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verileceğinin, 136. maddesinde ise kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin, iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağının hükme bağlanmıştır.

Bu nedenle, ilgili kişinin, komşusu hakkındaki hukuka aykırı olarak kamera taktırılması ve görüntü kaydı alınmasına ilişkin şikâyetlerinin Türk Ceza Kanunu hükümleri çerçevesinde suç unsuru barındırabileceği ve bu çerçevede 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6. maddesi dikkate alınarak söz konusu şikâyetin KVKK kapsamında değerlendirilemeyeceğine karar verilmiştir.

• “Türkiye Ticaret Sicil Gazetesinde açık bir şekilde ilan edilmeyen kişisel verilerin, talepler üzerine kamu kurum ve kuruluşlarıyla paylaşılması” hususuna ilişkin Kişisel Verileri Koruma Kurulunun 22/04/2020 tarihli ve 2020/307 sayılı Karar Özet:

6102 sayılı Türk Ticaret Kanunun 24. maddesinin ikinci fıkrası uyarınca “Ticaret sicili, Bakanlığın gözetim ve denetiminde ticaret sicili müdürlükleri ve şubeleri tarafından tutulur.” 1 Numaralı Cumhurbaşkanlığı Kararnamesinin “İç Ticaret Genel Müdürlüğü” başlıklı 446. maddesinin birinci fıkrasının (ı) bendi ve Ticaret Sicili Yönetmeliğinin 13. maddesi uyarınca da ticaret sicili işlemleri Merkezi Sicil Kayıt Sistemi (MERSİS) üzerinden gerçekleştirilmekte ve buna ilişkin sicil kayıtları MERSİS’te tutulmaktadır. Bu kayıtların MERSİS’te güvenli bir şekilde ve aleniyet ilkesi gözetilerek tutulması amaçlanmıştır. Ticaret sicili aleni olduğundan MERSİS’te tutulan kayıtlara herkesin ulaşabilme imkanı vardır. Kayıtlara ulaşmak isteyen herkes ticaret sicilinin içeriğini, dairede bulunan senet ve ilgili belgeleri inceleyebilir, bu belgelerin onaylı suretlerini giderini ödemek suretiyle alabilir. 

KVKK’nın 3. maddesinin 1. fıkrasının (d) bendi uyarınca kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, (e) bendi uyarınca kişisel verilerin işlenmesi; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir. KVKK kapsamında tacirlerin ya da şirket hissedarlarının isim, kimlik, adres ve benzeri bilgileri üzerinde Müdürlükler tarafından yapılan işlemlerin kişisel veri işleme faaliyeti olduğu açıktır. Herkes tarafından kolaylıkla ulaşılabilen belgelerde bulunan tacirlerin ya da şirket hissedarlarının kişisel verilerinin kötü niyetli kişiler tarafından kullanılabilmesi ihtimaline karşılık Türk Ticaret Kanununda ve Ticaret Sicili Yönetmeliğinde birtakım düzenlemeler öngörülmüştür. Ticaret Sicili Yönetmeliğinin “Sicil kayıtlarına erişim hakkı” başlıklı 15. maddesi uyarınca “(1) Herkes, sicilin içeriğini ve müdürlükte saklanan tüm senet ve belgeleri inceleyebilir. Bu inceleme elektronik ortamda ve/veya müdürlükte yapılabilir. (2) Defterler ve belgeler, sicil dairesinin bulunduğu kısımdan dışarıya çıkarılamaz. Bunların incelenmesinde müdür, kişisel verilerin korunmasına ilişkin hükümler çerçevesinde gerekli tedbirleri almak zorundadır. İnceleme esnasında müdürün vereceği talimatlara uyulması zorunludur. Aksi takdirde müdür defter ve belgeleri derhal kaldırabilir.  (3) Elektronik ortamda yapılacak olan incelemelerde de kişisel verilerin korunmasını ve bilgi güvenliğini sağlayacak tedbirler alınır.” 

Diğer taraftan, Müdürlükler nezdinde tutulan kişisel verilerin çeşitli kamu kurum ve kuruluşlarıyla paylaşılması bir “aktarım” faaliyeti olup, KVKK’da yer alan kişisel verilerin işlenmesi tanımında da belirlendiği gibi, kişisel verilerin aktarımı da bir kişisel veri işleme faaliyetidir. Bu çerçevede, kişisel verilerin yurt içinde aktarımını düzenleyen KVKK’nın “Kişisel verilerin aktarılması” başlıklı 8. maddesinde; kişisel verilerin, ilgili kişinin açık rızası olmaksızın aktarılamayacağı; ancak KVKK’nın 5. maddesinin ikinci fıkrasında ve özel nitelikli kişisel veriler bakımından yeterli önlemler alındığı takdirde KVKK’nın 6. maddesinin 3.  fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabileceği, diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla kabul edilmiştir.

Anılan Yönetmeliğin “İlan” başlıklı 41. maddesinde bu Yönetmelik uyarınca tescil edilen gerçek kişilerin kimlik numaralarının ilan edilmeyeceği hususu düzenlenmiştir. Nitekim Türkiye Ticaret Sicili Gazetesinde yapılan ilanlarda T.C. kimlik numaraları maskelenmek suretiyle yayımlanmakta, gerçek kişilerin yerleşim yeri adresleri açık adres olarak değil yalnızca il ve ilçe bilgisi ilan edilmek suretiyle paylaşılmaktadır. Düzenlenen hükümlerden de anlaşılacağı üzere her ne kadar ticaret sicili aleni olsa da tacirlerin ya da şirket hissedarlarının kişisel verilerinin korunması bakımından bazı bilgilerin maskelenerek kullanılması esastır, aksi takdirde tacirlerin ya da şirket hissedarlarının kişisel verilerinin kötü niyetli kişilerce kullanılması ihtimali söz konusu olabilecektir.  Ticaret sicilinde kayıtlı olan kişisel verilerin aleniyetin amacıyla örtüştüğü takdirde aleni olması esastır. Ayrıca KVKK’nın Genel İlkeler başlığı kapsamında işlenen verilerin “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması” ilkesine göre, belirlenen amaçların gerçekleştirilmesine elverişli olmalı, amacın gerçekleştirilmesiyle ilgili olmayan veya sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işleme yoluna gidilmemelidir.

Dolayısıyla her ne kadar ticaret sicili aleni olduğundan sicilde yer alan kişisel verilere ulaşılabiliyor olsa da bu ulaşılabilen kişisel veriler bakımından KVKK hükümleri geçersiz değildir, ulaşılabilen kişisel veriler KVKK kapsamında değerlendirilecektir. Bu yüzden Müdürlük tarafından kamu kurum ve kuruluşlarına gerçekleştirilecek aktarımların KVKK’nın 8. maddesinde yer alan düzenlemeye uygun biçimde yapılması ve sicilde aleni olarak işlenen verilerin işlenmesi noktasında aleniyet amacına bağlı kalarak, kişisel veri işleme faaliyeti işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmelidirler.

• İlgili kişinin, bir Valilikte görev yapmakta iken, Valilik çalışanı tarafından hukuka aykırı olarak elde edildiği iddia edilen kişisel verilerinin Valiliğe dijital ortamda sunulması” hakkında Kişisel Verileri Koruma Kurulunun 19/03/2020 tarih ve 2020/226 sayılı Karar Özet 

İlgili kişi, veri sorumlusu Valilikte görev yapmaktayken, başka bir çalışan tarafından hukuka aykırı olarak elde edilen kişisel verilerinin veri sorumlusuna gönderilmiştir. Veri sorumlusu söz konusu verilere dayanarak ilgili kişi hakkında disiplin soruşturması açmıştır. İlgili kişi, disiplin cezası alarak başka bir ilde alt kadroya atanmıştır. İlgili Kişi, veri sorumlusuna disiplin cezalarının kaldırılması ve atama işleminin iptali ile ilgili talepte bulunmuştur ancak veri sorumlusundan yetersiz bir cevap alması nedeni ile Kişisel Verileri Koruma Kurulu’na başvurmuştur. 

Kişisel verileri hukuka aykırı olarak elde eden Valilik çalışanı açısından şikâyete konu iddiaların esasen Türk Ceza Kanunu hükümleri uyarınca değerlendirilmesi gerektiğinden KVKK kapsamında değerlendirilemeyeceğine karar verilmiştir. Buna ilave olarak, Kamu Personeli Genel Tebliği uyarınca görevi herhangi bir şekilde sona eren memurların özlük dosyalarının çalışmış olduğu kurumca saklanacağı hüküm altına alınmış olduğundan dolayı ilgili kişinin veri sorumlusu nezdindeki bahse konu verilerinin silinmesi talebinin kişisel verilerin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması nedeniyle reddedilmesine karar verilmiştir. 

• “İlgili kişinin cep telefonunun özel bir hastane tarafından izinsiz aranması” hakkında Kişisel Verileri Koruma Kurulunun 27/02/2020 tarih ve 2020/172 sayılı Karar Özeti

İlgili Kişi, veri sorumlusu hastane tarafından şahsına ait numaradan reklam amaçlı arandığını ve rahatsız olması sebebiyle konuşmak istemediğini dile getirerek telefonu kapattığını belirtmiştir. İlgili kişi, veri sorumlusu hastanenin e-posta adresine yazılı olarak bilgi talep ettiğine ilişkin e-mail göndermiştir. Daha sonra hastaneden aranarak sözlü bilgi verilmeye çalışıldığı ancak kendisinin yazılı bilgi verilmesi talebinde bulunması üzerine kendisine e-posta yolu ile cevap verildiği tespit edilmiştir. İlgili kişi, konu ile alakalı olarak gelen cevabı yeterli bulmaması nedeniyle Kişisel Verilerin Korunması Kurumu’na başvurmuştur. 

Hastane savunmasında, ilgili kişinin kendileri tarafından aranmadığını ve ilgili kişiyi arayan numaranın ……Sağlık ve Danışmanlık Hizmetlerinin (“Firma”) kullandığı bir numara olduğunun tespit edildiği belirtilmiştir. Hastane yapmış olduğu savunmanın ekinde Firma ile akdettiği sözleşmeyi göndermiştir. İşbu sözleşmenin konusu, Firmanın hastanenin checkup hizmetini üçüncü kişilere pazarlaması ve satışına ilişkindir. İşbu sözleşmenin 4. Maddesi uyarınca Firmanın müşteri bulurken KVKK’dan ve sözleşmeden kaynaklanan yükümlülüklere riayet etme zorunluluğunun bulunmakta olup, sözleşmede bahse konu maddeye aykırı davranılması halinde doğacak tüm zarardan Firmanın sorumlu olduğu hüküm altına alınmıştır. 

Firma ise savunmasında, ilgili kişiye ilişkin aramanın hastane adına yapıldığını, Firma’nın hastanelerin hastalarıyla olan randevu takibini yapmakta olduğundan dolayı bu aramaları gerçekleştirdiğini belirtmiştir. Ancak, ilgili kişinin şikayete konu hastanenin hastası olmayıp yanlışlıkla arandığı ve durumun fark edilmesi ile telefon görüşmesinin derhal sonlandırıldığı belirtilmiştir.  

Kişisel Verileri Koruma Kurulu’nun incelemesinde, hastanenin sözleşmede belirtilen ürünlerle ilgili SMS gönderme yetkisini de Firmaya verdiği tespit edilmiştir.

Kişisel Verileri Koruma Kurum’u tarafından yayımlanan KVKK Hakkında Sıkça Sorulan Sorular rehberinde çağrı merkezlerinin kişisel veri işleme faaliyetlerini veri sorumlusundan aldığı talimatlar doğrultusunda gerçekleştirmesi nedeniyle veri işleyen olacağı belirtilmiştir. 

Firma’nın hastane adına hareket ederek hem hastanenin eski müşterilerine hem de kendi bulduğu müşterilere checkup panelini pazarlayan bir çağrı merkezidir. Firma’nın bu satışı ilgili kanunlar çerçevesinde “elektronik posta, posta, kapıdan dağıtım, kapıdan satış, internet üzerinden satış, telefonla satış, medya üzerinden satış ve sair yollarla yapabileceği;  bu ürünü ister web sitesi aracılığı ile, ister kapıdan satış yöntemi ile, ister kurumsal satış şekliyle, isterse tele marketing yoluyla, yazılı, işitsel ve görsel medya yoluyla veya başka bir yolla pazarlayabileceği ve satabileceği; sözleşmede belirtilen ürünlerle ilgili SMS gönderebileceği hükümleri ile satış esnasında kanundan ya da sözleşmeden kaynaklı yükümlülüklere riayet etmemesi sebebiyle doğacak tüm zararlar nedeniyle hastanenin Firmaya rücu hakkına sahip olduğu” hükmü dikkate alındığında hastanenin checkup hizmetinin pazarlanması ve satışı için Firmaya yetki verdiği görülmektedir. Bu kapsamda, hastanenin kayıtlarında bulunan müşterilere pazarlanmasına yönelik kişisel veri işlenmesinde Firma veri işleyen olarak değerlendirilecektir. Ancak, hastane kayıtlarında bulunmayan ancak Firmanın kendisi tarafından bulunan yeni müşterilerin pazarlama amacıyla aranarak kişisel verilerinin işlenmesinde Firma veri sorumlusu olacaktır.

İlgili kişinin kişisel verisi olan cep telefonu numarasının veri sorumlusu Firma tarafından reklam amacıyla aranması suretiyle kullanılmasının, kişisel verilerin korunması mevzuatı açısından bir veri işleme faaliyeti olduğu,  bu işlemenin KVKK’nın 5. maddesinde düzenlenen işleme şartlarından herhangi birine dayanılarak yapılmaması sebebiyle de KVKK’nın 12. maddesi 1. fıkrası (a) bendi uyarınca “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünün yerine getirilmediği kanaatine varıldığından, incelemeye konu olay açısından veri sorumlusu olarak kabul edilen Firma hakkında, 50.000,00.-TL idari para cezası uygulanmasına karar verilmiştir.